Problema

No Cato, existem dois tipos de cotas: uma se refere a eventos e a outra a alertas. O limite padrão varia com base na licença DPA que o cliente possui.

• Para clientes com licença DPA 2021, o limite padrão para geração de eventos é de 2,5 milhões de eventos por hora, por subtipo. 
• No DPA 23, o limite é determinado pelo número de unidades de dados que o cliente adquire durante o processo de renovação ou integração. Especificamente, 1 Unidade de Dados é equivalente a 2,5 milhões de eventos por hora. (agregação de todos os subtipos). 

Nota: A taxa de eventsFeed da API Cato não é limitada pela Cota de Eventos, mas segue diferentes limites de taxa de API, conforme explicado em Understanding Cato API Rate Limiting

Para alertas, o limite padrão para geração de alertas é definido em 50 alertas por hora, por subtipo. 

Para saber que licença DPA você possui, vá para Administração > Licença

Ex. de DPA 2021

Ex. de DPA 2023

Para mais informações, consulte Limites e Restrições da Nuvem Cato.

Este artigo tem como objetivo fornecer orientações sobre como lidar com situações em que você recebeu um email notificando que a cota de eventos e/ou alertas foi excedida.

Solução de Problemas

1. Cota de Eventos Cato Excedida
2. Cota de Alertas Cato Excedida

Cota de Eventos Cato Excedida

When the number of events exceeds the maximum quota for the account, Cato generates an email alert. 

The following screenshot shows a sample alert of events quota exceeded message for Internet firewall events: 

Solution 

Cato generates the Events Quota Exceeded alert when the number of events for a specific event type exceeds the maximum limits for events per hour. For more information about the event limits, see Cato Cloud Thresholds and Limits.

Eventos de WAN e Internet

You can identify the WAN or Internet rule that is generating the large number of events and then disable the Track > Event option.  

To identify the firewall rule and disable the track events option: 

1. Open the Cato Management Application and go to Home > Events. 
2. Expanda o  Regra campo sob a  Campos  Seção.  
3. Localize a regra de firewall que gera o grande  número  de eventos.  

A captura de tela seguinte mostra um  exemplo de uma  regra de firewall (Permitir todos saída) que  gerou 5,6 milhões de eventos:  

    4. Vá para Segurança > WAN ou Firewall de Internet, localize a regra (do passo anterior) e edite as Configurações de Rastreamento.

   5. Desabilite a Opção de Evento para esta regra. 

   6. Clique em Aplicar e depois clique em Salvar.

Eventos IPS

Se o Motor do IPS estiver bloqueando o tráfego esperado, como verificações de vulnerabilidade, gerando um grande número de eventos, você pode adicionar a fonte do tráfego à lista de permissões conforme explicado em Permissões de Assinaturas IPS

Para identificar o IP de origem e adicioná-lo à Lista de Permissão: 

1. Abra o Aplicativo de Gerenciamento Cato e vá para Inicial > Eventos. 
2. Selecione a predefinição IPS
3. Expanda o campo IP de Origem na seção de Campos e selecione o Endereço IP com a maior quantidade de eventos de IPS.
4. Clique no ID da Assinatura e configure a lista de permitidos conforme conveniente. Certifique-se de que o Rastreamento está desativado.
5. Clique em Aplicar

Cato Alertas Limite Excedido

Um email será enviado para a lista de emails do cliente, sob Notificação Geral, quando o número de alertas gerados por hora exceder 50 para a conta. O cliente receberá um email com o assunto, "Cato alertas Limite Excedido".

Solução

1. Determine para qual recurso do Cato o email de alerta de limite excedido foi gerado. Por exemplo, no email de Alerta de Limite Excedido acima, foi para alertas IPS. 
2. Faça login no CMA para verificar a autenticidade deste alerta
   • Vá para Inicial > Eventos
   • Em Selecionar Predefinições, selecione o IPS e personalize o período de tempo com base em quando o email foi recebido. Como o limite para gerar o email de Alerta de Limite Excedido é 50 alertas por hora, personalize o período de tempo, começando uma hora antes do email ter sido recebido.  
     
3. Revise os eventos para determinar o Motivo do alerta. Por exemplo, na captura de tela abaixo, pode-se observar que houveram múltiplos eventos para um possível ataque, e era proveniente da mesma Fonte.
   
4. Investigue os eventos e tome a Ação necessária.
5. Se estes alertas se confirmarem como falsos positivos, contate o Suporte da Cato. Para abrir um caso de Suporte, consulte Submissão-de-um-Ticket-de-Suporte.
6. Se você não deseja ser notificado de alertas semelhantes subsequentes, você pode ir para a respectiva regra ou recurso relacionado a este alerta, e desativar a Notificação por Email.